A settembre 2017 un ex tecnico della NSA, Patrick Wardle, aveva scoperto una falla nella funzionalità Portachiavi (Keychain) di macOS: un’applicazione non autorizzata e sprovvista di qualunque firma digitale poteva, una volta eseguita, estrarre tutte le credenziali dell’utente conservate nel password manager di Apple.
Quella vulnerabilità, della quale abbiamo parlato nel nostro articolo Vulnerabilità in macOS High Sierra permette di rubare le password, è stata da tempo risolta da parte dei tecnici di Apple ma il 18enne Linus Henze afferma di aver individuato una lacuna di sicurezza molto simile e che permette di raggiungere lo stesso obiettivo.
Henze ha realizzato un’applicazione che, sfruttando la lacuna zero-day appena individuata, permette di mostrare in chiaro tutte le credenziali conservate sul sistema macOS estraendole direttamente dal Portachiavi Apple.
Il ricercatore spiega che il problema è particolarmente grave perché l’applicazione che esegue il codice exploit non necessita dei privilegi di root e funziona in tutte le versioni del sistema operativo, compreso macOS Mojave aggiornato con tutte le patch rilasciate da Apple nel corso del tempo.
Esaminando il video pubblicato su YouTube da Henze, si vede come la sua applicazione sembri estrarre tutte le credenziali senza ovviamente conoscere la password principale usata a difesa del contenuto del Portachiavi Apple. Va anche detto che tale archivio di password sembra protetto, almeno nell’esempio, da una sequenza di soli 6 caratteri. È ipotizzabile un attacco brute-force perché non è dato sapere la complessità di tale password e il tempo che passa tra l’avvio dell’applicazione e l’effettiva estrazione dei dati.
Henze parla però indiscutibilmente di una vulnerabilità presente in macOS e sostiene che essa potrebbe essere stata utilizzata da parte di criminali informatici per mettere le mani sulle credenziali degli utenti, adoperandole a loro piacimento.
Stando alle prime analisi, l’attacco parrebbe funzionare solo previo login da parte dell’utente al suo Portachiavi. Come misura di difesa, quindi, si può fare in modo che il Portachiavi venga automaticamente disabilitato trascorso un certo periodo di tempo: così facendo si potrà evitare che qualche malintenzionato o un processo malevolo possano rubare le credenziali.
Il ricercatore critica inoltre Apple per non aver mai lanciato un programma bug bounty: in altre parole l’azienda guidata da Tim Cook non elargisce premi in denaro ai soggetti che, responsabilmente, segnalassero le nuove vulnerabilità individuate nei suoi prodotti in forma privata.
Astenendosi per il momento dal pubblicare il codice PoC (proof-of-concept), Henze prova a “scuotere” Apple di fatto chiedendo una remunerazione a fronte della sua scoperta, disposto a fornire tutti i dettagli tecnici.